Protecção da informação: prioridade baixa!
O conceito ‘inventário de recursos’, objecto de incidência no capítulo de controlos do referencial internacional ISO/IEC 17799 dedicado à Gestão de Recursos (Asset Management), é na grande maioria das vezes, associado pelas organizações ao conceito de ‘ inventário contabilístico’, que possibilita o conhecimento do valor residual e amortizado dos diferentes bens organizacionais. Contudo, o conceito ‘inventário de recursos’ no léxico da gestão da segurança da informação, vai além do mero valor contabilístico associado aos recursos abrangidos pelo ISMS (Information Security Management System – Sistema de Gestão da Segurança da Informação) da organização, na medida que inclui tanto recursos tangíveis como recursos intangíveis, de valor dificilmente calculável, como é o caso da informação, cujo valor poderá não ser nada análogo ou equivalente ao preço da infra-estrutura que a suporta ou imagem e reputação da organização. Neste sentido torna-se necessário esclarecer no que consiste um inventário de recursos, ao nível da gestão da segurança da informação, e que tipo de dados deverá fornecer à entidade responsável por esta disciplina na organização.
Ao nível da gestão da segurança da informação, podemos entender inventário de recursos como um levantamento dos recursos de informação considerados críticos para o negócio da organização, estando por essa razão abrangidos pelo seu ISMS, e entre os quais se contam bens de natureza distinta como: informação (documentada ou não documentada, em formato tangível ou intangível, incluindo bases de dados, contratos e acordos, manuais, registos e relatórios de auditoria, políticas e procedimentos documentados, etc.); software e respectivas licenças (sistemas operativos e outras aplicações e ferramentas); hardware e equipamento diverso e de suporte (equipamento de escritório e outras infra-estruturas); serviços de comunicação e serviços de fornecimento de energia eléctrica, entre outros; e por último, mas não menos importante, as pessoa, atendendo às suas qualificações, competências e experiência. Acresce referir que muitas vezes a reputação e a boa imagem da organização deverão igualmente serem vistos como recursos organizacionais, cuja contabilização é contudo impossível, mas cujo compromisso poderá representar a descontinuidade do negócio da organização.
Entre os dados fornecidos por um inventário de recursos inserido num ISMS, devem constar, entre outros elementos: uma referência ou número de identificação único do recurso em questão; a sua designação e respectiva descrição; a sua natureza (recurso de hardware, de software, etc.); o nome do responsável pela sua gestão (criação, aquisição, manutenção, operação, etc.); localização e formato; data de criação ou de aquisição; classificação (especialmente no que concerne a documentos e informação); marca e/ou fornecedor e número de série (ao nível de hardware, software, outro equipamento e serviços); e ainda o número de funcionário, nome, função, departamento ou unidade, local de trabalho e contacto, no que concerne a colaboradores.
Labels: Segurança da Informação
Data 30.1.06
